Un tool Linux/Unix apre le porte ai cracker

Webmin contiene una grave falla che potrebbe spalancare le porte ai cracker. Gli esperti sollecitano gli amministratori a scaricare la versione aggiornata

Roma - L'autore di Webmin, Jamie Cameron, ha esortato tutti gli utenti del suo popolare tool open source a scaricare quanto prima la nuova versione aggiornata del software: questa risolve infatti una severa falla di sicurezza scoperta all'inizio del mese dalla società di sicurezza LAC Computer Security.

La vulnerabilità, che a detta degli esperti è fra le più serie in cui sia mai incappato Webmin, interessa tutte le versioni di questo software comprese fra la 0.91 e la 0.960 e diverse versioni di Usermin, un tool analogo a Webmin ma specificatamente dedicato agli utenti.

In un avviso di sicurezza pubblicato da LAC si apprende che la falla, riguardante il modo in cui comunicano il processo padre ed il processo figlio di Webmin e Usermin, può essere sfruttata da un aggressore per ingannare il programma da remoto ed utilizzare il session ID di un qualsiasi utente già loggato nel sistema per accedere al tool di amministrazione con i privilegi di quest'ultimo.
"Se l'aggressore può loggarsi in Webmin sfruttando questo sistema - si spiega nell'advisory di LAC - c'è la possibilità che possa essere in grado di eseguire comandi arbitrari con i privilegi di utente root".

Per sfruttare questa vulnerabilità il cracker deve essere a conoscenza di almeno un nome utente valido: tuttavia, questo non sembra essere un grosso limite visto che l'user name che Webmin assegna di default all'utente Administrator è "admin".

Le nuove versioni aggiornate di Webmin e di Usermin possono essere scaricate da qui.

Webmin è un tool di amministrazione open source basato su un'interfaccia Web e distribuito sotto licenza BSD. Il programma può essere compilato sono una grande varietà di sistemi operativi, da quelli Linux alle più disparate versioni di Unix, compreso Mac OS X.
55 Commenti alla Notizia Un tool Linux/Unix apre le porte ai cracker
Ordina
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 9 discussioni)